一、系统审计
1.什么是审计
基于事先配置的规则生成日志,记录可能发生在系统上的事件
审计不会为系统提供额外的安全保护,但它会发现并记录违反安全策略的人及对应的行为
审计能够记录的日志内容:
日期与事件,事件结果
触发事件的用户
所有认证机制的使用都可以被记录,如ssh等
对关键数据文件的修改
2.审计的案例
监控文件访问
监控系统调用
记录用户运行的命令
审计可以监控网络访问行为
ausearch工具,可以根据条件过滤审计日志
aureport工具,可以生成审计报告
3.部署audit
使用审计系统需要安装audit软件包
主配置文件/etc/audit/auditd.conf
[root@web100 ~]# yum -y install audit
[root@web100 ~]# cat /etc/audit/auditd.conf
log_file = /var/log/audit/audit.log ==>>日志文件
[root@web100 ~]# systemctl start auditd
[root@web100 ~]# systemctl enable auditd
4.auditctl命令
控制审计系统并设置规则决定哪些行为会被记录日志
[root@web100 ~]# auditctl -s ==>>查询状态
[root@web100 ~]# auditctl -l ==>>查看规则
[root@web100 ~]# auditctl -D ==>>删除所有规则
5.定义临时规则
定义文件系统规则,语法如下:
auditctl -w path -p permission -k key_name
path为需要审计的文件或目录
权限可以是r,w,x,a(文件或目录的属性发生变化)
key_name为可选项,方便识别哪些规则生成特定的日志项
[root@web100 ~]# auditctl -w /etc/passwd -p wa -k passwd_change ==>>设置规则所有对passwd文件的写,属性修改操作都会被记录审计日志
[root@web100 ~]# auditctl -w /etc/selinux/ -p wa -k selinux_change ==>>设置规则,监控/etc/selinux目录
[root@web100 ~]# auditctl -w /usr/sbin/fdisk -p x -k disk_partition ==>>设置规则,监控fdisk程序
6.定义永久规则
写入配置文件/etc/audit/rules.d/audit.rules
[root@web100 ~]# vim /etc/audit/rules.d/audit.rules
10 -w /etc/passwd -p wa -k passwd_change
7.查看日志
type为类型
msg为(time_stamp:ID),时间是date+%s
arch=c000003e,代表x86_64(16进制)
success=yes/no,事件是否成功
a0-a3是程序调用时前四个参数,16禁止编码了
ppid父进程ID,如bash,pid进程ID,如cat命令
auid是审核用户的id,su - test,依然可以追踪su前的账户
uid,gid用户与组
tty从哪个终端执行的命令
comm=用户在命令行执行的命令
exe=”/bin/cat“ 实际程序的路径
key=”sshd_config“ 管理员定义的策略关键字key
type=CWD 用来记录当前工作目录
cwd=”/home/username“
type=PATH
ouid(owner's user id) 对象所有者id
guid(owner's groupid) 对